内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。
这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??
赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path <-> IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。
🤣 🤣 🤣 🤣 🤣
内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。
这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??
赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path <-> IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。
🤣 🤣 🤣 🤣 🤣
1
xylophone21 8h 23m ago
权限校验 ✅
防爬虫和 WAF ❌ |
2
adoal 8h 12m ago
X-Y problem
|
3
tf2 OP |
4
PerFectTime 7h 50m ago
找 IT 通报啊,这种东西不需要使用技术手段进行管理,使用行政手段干预
|
5
sentinelK 7h 46m ago “一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??”
贵司暴露一个高危 API ,不做任何鉴权保护,这和 AI 有啥关系…… |
6
tf2 OP @sentinelK 前面的兄弟跟你一样的问题,但是你猜猜 AI 遇到需要鉴权的是不是就束手无策了?
你猜猜让 AI 干活儿的会不会给自己登录信息? @PerFectTime 对的。就是准备干这个事。。。 |
7
PerFectTime 7h 32m ago
@tf2 #6 你怎么加限制给 ai 都没有用的,他都会想方设法绕过,雷霆行政手段出击即可
![]() |
8
tf2 OP @PerFectTime 我现在面临的问题是 感知。。以前内网 API 谁会去在意啊。所以得自己采集特征。跟 AI 对抗,很难绷。。。
|
9
winnerczwx 7h 21m ago
你的意思是 AI Agent 在无命令的情况下自主扫描接口, 组织参数并调用?
用的啥模型, 发出来避雷一下 |
10
PerFectTime 7h 17m ago
@tf2 #8 做日志审计就好了,然后做好 qps 限制,只记录不提醒
|
11
383394544 7h 9m ago
治标的办法是不要暴露 delete rest api ,而是设置删除状态 (soft-delete)。之后你们在后台跑脚本删
|
12
deplives 6h 45m ago
难绷, [一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是]
|
13
Greenm 6h 16m ago 反爬和 WAF 主要是防范来自于外部的恶意请求。
而你们现在最大的问题是内部自己人不知道如何使用 AI ,导致 AI 发出了超过自己控制的请求,也就是说这个东西你们掌控不住。 而 WAF 和反爬防不住发送请求到 DELETE 接口,只会给你们正常的工作带来困扰。 |
14
tf2 OP |
15
383394544 3h 42m ago
@tf2 不是你们用的 Agent 太笨就是调用的人太笨,或者都是。你们现在要做的事(按优先级排):1. 用快照或软删除兜底,出事时还能回滾。2. 给高危接口加鉴权。3. 培训底下的人正确的 AI 使用方式。4. 开掉不合适的人。
你这种处理方式,遇到问题不去解决真正的根源(乱 vibe coding 的那个人),而是想办法加防呆、加防护,就是大公司病的溫床。 |
16
WorldDominator 8 mins ago
为什么不加鉴权,限流。假设内网电脑中病毒了,同样的方法攻击了你这个接口怎么办
|